Lecciones de Wannacry para no tener que volver a llorar

La noticia del mes ha sido la existencia del virus Wannacry, un letal ransomware que ha aprovechado una vulnerabilidad en la seguridad del sistema Windows para cifrar información valiosa y exigir un pago. Miles de computadores han sido afectados en más de 150 países, empresas han detenido sus operaciones, pacientes no han sido atendidos, bases de datos de entidades policiales han sido robadas, y, no obstante, las soluciones que hay sobre la mesa no han sido tan impetuosas como su enemigo.

Se está diciendo que los gobiernos deben detener su práctica de “acopio” de vulnerabilidades informáticas. La razón de lo anterior es el hecho que el virus se expandió porque se “robó” una vulnerabilidad en el sistema de seguridad de la Agencia de Seguridad Nacional norteamericana (NSA). Microsoft solicitó reformar la Convención de Ginebra para que fuera un requisito gubernamental “informar de las vulnerabilidades a los proveedores en lugar de almacenarlas, venderlas o aprovecharlas”. Sí, Microsoft tiene razón. Si queremos atacar los crímenes que se cometen online, es importante que los proveedores tengan toda la información pertinente a mano; con ella, ofrecerían productos capaces de prevenir ataques cibernéticos. Esto mismo lo dijeron dos docentes de derecho en 2005, Susan Brenner y Leo L. Clarke; ciertamente, esta solución no es nada nueva y desde hace años que se ha intentado implementar.

Sin embargo, observando los estragos que este virus ha ocasionado alrededor del mundo, recordé algo realmente innovador que también señalaron estos docentes. En su momento, se idearon un modelo preventivo para combatir el cibercrimen que lo tenía a usted y a mí como enfoque central. Afirmaban que usted y yo, ciudadanos de bien, deberíamos tener responsabilidad penal por las negligencias que cometiéramos en el ciberespacio.

Fue escandaloso en su momento. Cómo era posible que se les ocurriera arrestar a personas que tenían poco o ningún control sobre lo que se cometiera online. Los malos eran otros, no nosotros. Estos docentes argumentaron que ya se incentivaba a los individuos a usar ciertos software y se los educaba en nuevos peligros que surgían en el ciberespacio. Sin embargo, no eran incentivos suficientes, los individuos continuaban siendo insolentes, compraban software pirata, entraban a páginas web y no eran ni conscientes del alcance de sus acciones. De acuerdo con ellos, sólo la amenaza de una sanción penal era lo suficientemente disuasiva para que cada uno, ya sea dentro de un contexto personal u organizacional (por ejemplo, como agentes de la NSA), nos preocupáramos por las medidas de seguridad que adoptáramos en nuestros dispositivos.

También se les acusó de contradictorios. ¿Es que ahora debemos pagar por las conductas punibles de otros? A esto respondieron que, a diferencia del mundo físico, el ciberespacio no tenía un gobierno central. Así como la carga de mantener orden recayó sobre la población luego de la caída de Roma, asimismo deberíamos asumir cierta responsabilidad en el ciberespacio. De todas maneras, los individuos sólo deberían ser obligados a comprar las herramientas adecuadas, actualizarlas, reemplazarlas cuando fuera necesario y usarlas de forma efectiva.

Finalmente, se les preguntó por qué debía ser la sanción penal el único incentivo en la materia. Respondieron que mientras las fuerzas policiales y de orden público fueran entidades aparte que se mantuvieran como el grupo que lidiaba con el cibercrimen, los civiles considerarían las obligaciones que se les impusieran como superfluas, onerosas y como molestias que sólo probaban que las fuerzas policiales no estaban realizando su trabajo.

Sí, lo sé, usted y yo no estamos convencidos, aún decimos que estaban locos. Desafortunadamente, al ver lo que ha hecho Wannacry, este par de docentes deben estar diciéndole al mundo entero: “Se los dije”. De haber seguido sus consejos, tal vez este ataque no se hubiera propagado.

Ahora, lo único que podemos hacer es averiguar cómo se pueden prevenir futuros ataques de esta magnitud. Y sí, usted ya sabe qué piensan estas dos personas al respecto. En vez de “tener que llorar”, mejor proteger nuestra información por voluntad propia antes de que debamos llegar al punto de ser amenazados con un arresto.

*Abogada, máster en derecho y tecnología de la Universidad de Tilburg.

La noticia del mes ha sido la existencia del virus Wannacry, un letal ransomware que ha aprovechado una vulnerabilidad en la seguridad del sistema Windows para cifrar información valiosa y exigir un pago. Miles de computadores han sido afectados en más de 150 países, empresas han detenido sus operaciones, pacientes no han sido atendidos, bases de datos de entidades policiales han sido robadas, y, no obstante, las soluciones que hay sobre la mesa no han sido tan impetuosas como su enemigo.

Se está diciendo que los gobiernos deben detener su práctica de “acopio” de vulnerabilidades informáticas. La razón de lo anterior es el hecho que el virus se expandió porque se “robó” una vulnerabilidad en el sistema de seguridad de la Agencia de Seguridad Nacional norteamericana (NSA). Microsoft solicitó reformar la Convención de Ginebra para que fuera un requisito gubernamental “informar de las vulnerabilidades a los proveedores en lugar de almacenarlas, venderlas o aprovecharlas”. Sí, Microsoft tiene razón. Si queremos atacar los crímenes que se cometen online, es importante que los proveedores tengan toda la información pertinente a mano; con ella, ofrecerían productos capaces de prevenir ataques cibernéticos. Esto mismo lo dijeron dos docentes de derecho en 2005, Susan Brenner y Leo L. Clarke; ciertamente, esta solución no es nada nueva y desde hace años que se ha intentado implementar.

Sin embargo, observando los estragos que este virus ha ocasionado alrededor del mundo, recordé algo realmente innovador que también señalaron estos docentes. En su momento, se idearon un modelo preventivo para combatir el cibercrimen que lo tenía a usted y a mí como enfoque central. Afirmaban que usted y yo, ciudadanos de bien, deberíamos tener responsabilidad penal por las negligencias que cometiéramos en el ciberespacio.

Fue escandaloso en su momento. Cómo era posible que se les ocurriera arrestar a personas que tenían poco o ningún control sobre lo que se cometiera online. Los malos eran otros, no nosotros. Estos docentes argumentaron que ya se incentivaba a los individuos a usar ciertos software y se los educaba en nuevos peligros que surgían en el ciberespacio. Sin embargo, no eran incentivos suficientes, los individuos continuaban siendo insolentes, compraban software pirata, entraban a páginas web y no eran ni conscientes del alcance de sus acciones. De acuerdo con ellos, sólo la amenaza de una sanción penal era lo suficientemente disuasiva para que cada uno, ya sea dentro de un contexto personal u organizacional (por ejemplo, como agentes de la NSA), nos preocupáramos por las medidas de seguridad que adoptáramos en nuestros dispositivos.

También se les acusó de contradictorios. ¿Es que ahora debemos pagar por las conductas punibles de otros? A esto respondieron que, a diferencia del mundo físico, el ciberespacio no tenía un gobierno central. Así como la carga de mantener orden recayó sobre la población luego de la caída de Roma, asimismo deberíamos asumir cierta responsabilidad en el ciberespacio. De todas maneras, los individuos sólo deberían ser obligados a comprar las herramientas adecuadas, actualizarlas, reemplazarlas cuando fuera necesario y usarlas de forma efectiva.

Finalmente, se les preguntó por qué debía ser la sanción penal el único incentivo en la materia. Respondieron que mientras las fuerzas policiales y de orden público fueran entidades aparte que se mantuvieran como el grupo que lidiaba con el cibercrimen, los civiles considerarían las obligaciones que se les impusieran como superfluas, onerosas y como molestias que sólo probaban que las fuerzas policiales no estaban realizando su trabajo.

Sí, lo sé, usted y yo no estamos convencidos, aún decimos que estaban locos. Desafortunadamente, al ver lo que ha hecho Wannacry, este par de docentes deben estar diciéndole al mundo entero: “Se los dije”. De haber seguido sus consejos, tal vez este ataque no se hubiera propagado.

Ahora, lo único que podemos hacer es averiguar cómo se pueden prevenir futuros ataques de esta magnitud. Y sí, usted ya sabe qué piensan estas dos personas al respecto. En vez de “tener que llorar”, mejor proteger nuestra información por voluntad propia antes de que debamos llegar al punto de ser amenazados con un arresto.

*Abogada, máster en derecho y tecnología de la Universidad de Tilburg.